• 主頁
  • 文章
  • 指導
  • WordPress 安全性:2022 年保護 WordPress 網站的最佳方法

WordPress 安全性:2022 年保護 WordPress 網站的最佳方法

已發表: 2022-03-09

WordPress 安全性是所有網站所有者的一個大問題。 每天,Google 都會將10,000 多個網站列入惡意軟件黑名單,每週將50,000 個網站列入網絡釣魚黑名單。

如果您擔心網站的安全性,則應遵循 WordPress 安全最佳實踐。

在這篇文章中,我們將介紹所有最好的 WordPress 安全方法,以幫助您保護您的網站免受黑客和惡意軟件的侵害。

雖然 WordPress 核心軟件非常安全,並且數百名開發人員定期對其進行審核,但您仍然可以做很多事情來確保您的網站安全。

作為網站所有者,您可以做幾件事來提高 WordPress 的安全性。

您可以採取幾個可行的步驟來保護您的 WordPress 網站免受安全漏洞的影響。

讓我們開始吧。

為什麼 WordPress 網站安全很重要?

被黑的 WordPress 網站可能會嚴重損害您的業務收入和聲譽。 黑客可以竊取用戶信息密碼、安裝有害軟件,甚至用惡意軟件感染您的用戶。

最糟糕的是,您可能被迫向黑客支付勒索軟件以恢復對您網站的訪問權限。

谷歌在 2016 年 3 月宣布,超過 5000 萬互聯網訪問者被告知他們訪問的網站可能包含惡意軟件​​或竊取信息。

此外,每天,Google 都會將大約10,000多個惡意軟件網站和大約50,000 個網絡釣魚網站列入黑名單。

如果您正在運營一個商業網站,您需要特別注意 WordPress 的安全性。

最常見的 WordPress 安全問題

最常見的 WordPress 安全漏洞發生在您的網站被黑客入侵之前或之後不久。 黑客旨在通過前端(您的 WordPress 儀表板)或從服務器端(插入腳本或惡意文件)獲取未經授權的管理員訪問您的 WordPress 站點。

以下是您應該注意的前五個 WordPress 安全問題:

1.蠻力攻擊

WordPress蠻力攻擊是指反复輸入不同的用戶名和密碼組合,直到找到組合成功的過程。 蠻力攻擊方法利用訪問您網站的最簡單方法:您的 WordPress 登錄頁面。

默認情況下,WordPress 不限制登錄嘗試。 因此,機器人可以使用蠻力攻擊方法來攻擊您的 WordPress 登錄頁面。 即使蠻力攻擊失敗,它仍然可能通過超載您的系統和減慢您的網站對您的服務器造成嚴重破壞。

2. 跨站腳本(XSS)

跨站腳本 (XSS) 攻擊佔 2021 年發現的所有 WordPress 安全漏洞的 54.4%。在 WordPress 插件中發現的最常見漏洞是跨站腳本。

跨站腳本的基本方法如下:攻擊者想辦法說服受害者將易受攻擊的javascript腳本加載到他們的網頁中。 這些腳本在訪問者不知情的情況下被加載,然後被利用從他們的瀏覽器中竊取信息。 似乎在您的網站上的被劫持表單是跨站點腳本攻擊的一個示例。 如果用戶填寫表格,XSS 將獲取他們的信息。

3. 文件包含漏洞

在暴力攻擊之後,攻擊者利用的最常見的安全漏洞是您的 WordPress 網站的 PHP 代碼中的弱點。

當易受攻擊的代碼用於加載外部文件時,就會出現文件包含漏洞,從而使攻擊者可以訪問您的網站。 文件包含攻擊是攻擊者獲取 WordPress 網站的 wp-config.php 文件訪問權限的最常用方法之一,該文件是 WordPress 安裝中最重要的文件之一。

4. SQL 注入

MySQL 數據庫用於運行您的 WordPress 網站。 當攻擊者獲得對您的 WordPress 數據庫以及您網站上所有數據的訪問權限時,就會發生 SQL 注入。

攻擊者可能能夠通過 SQL 注入建立一個新的管理員級用戶帳戶,然後可以使用該帳戶登錄並完全控制您的 WordPress 網站。 SQL 注入還可用於將新數據(例如指向惡意網站或垃圾郵件網站的鏈接)輸入您的數據庫。

5. 惡意軟件

惡意軟件是用於未經授權訪問網站以收集敏感信息的代碼。 被黑的 WordPress 網站通常表明惡意軟件已被放入您網站的文件中; 因此,如果您懷疑網站上有惡意軟件,請檢查最近更改的文件。

儘管互聯網上有不同類型的惡意軟件攻擊,但 WordPress 並非易受所有這些攻擊。 以下是四種最常見的 WordPress 惡意軟件感染:

  • 後門
  • 路過式下載
  • 製藥黑客
  • 惡意重定向

通過手動卸載惡意文件、安裝新版本的 WordPress 或從以前未受感染的備份中恢復 WordPress 站點,可以輕鬆識別和刪除這些形式的惡意軟件。

WordPress 安全指南 2022

僅實施一兩個 WordPress 安全措施不足以確保您的 WordPress 網站的安全。 以下是 2022 年保護 WordPress 網站的一些最佳方法。

1.定期更新WordPress版本

WordPress 會定期提供軟件更新以提高速度和安全性。 這些升級還有助於保護您的網站免受網絡攻擊。

提高 WordPress 安全性的最簡單方法之一是更新您的 WordPress 版本。 然而,超過一半的 WordPress 網站使用的是舊版本的軟件,這使得它們更容易受到攻擊。

要查看您是否擁有最新的 WordPress 版本,請轉到 WordPress 管理區域左側菜單面板上的儀表板 -> 更新。 如果顯示您的版本已過期,建議您盡快更新。

2.使用強密碼

用戶犯的最基本的錯誤之一是使用容易猜到的用戶名,例如“admin”、 “administrator”“test”。 因此,您的網站更容易受到暴力攻擊。 此外,攻擊者使用這種方法來攻擊具有弱密碼的 WordPress 站點。

因此,我們建議您使您的用戶名和密碼更加複雜和獨特。

如果您需要幫助創建強密碼,請使用 LastPass 和 1Password 等在線工具。 他們的密碼管理服務也可用於安全地存儲強密碼。 您不必以這種方式記住它們。

在登錄之前檢查網絡以確保您的站點的安全性也很重要。 如果您錯誤地鏈接到Hotspot Honeypot (一個由黑客運行的網絡),您就有可能將您的登錄詳細信息暴露給運營商。

即使是公共網絡,例如學校圖書館的 WiFi ,也可能不像看起來那麼安全。 黑客可以攔截您的連接並竊取未加密的數據,例如登錄密碼。

因此,無論何時您連接到公共網絡,我們都建議您使用 VPN 。 它對連接進行加密,使攔截數據和保護您的在線活動變得更加困難。

3. 投資安全的 WordPress 託管

您的 WordPress 託管服務是 WordPress 網站安全性的最重要方面。 出色的共享託管服務,例如 Bluehost 或 Siteground,將超越並保護其服務器免受常見威脅。

以下是優秀的網絡託管服務提供商如何在後台保護您的網站和數據。

  • 他們密切關注他們的網絡是否有任何可疑活動。
  • 所有優秀的託管公司都有防止大規模 DDOS 攻擊的系統。
  • 為了防止黑客利用舊版本中的已知安全漏洞,他們將服務器軟件、PHP 版本和硬件保持在最新狀態。
  • 他們有準備部署的災難恢復和事故計劃,使他們能夠在發生重大事故時保護您的數據。

當您選擇共享託管計劃時,您將與許多其他人共享服務器資源。 這增加了跨站點污染的風險,當黑客使用附近的站點攻擊您的網站時,就會發生這種情況。

使用託管 WordPress 託管服務提供商可確保您的網站更加安全。 託管 WordPress 託管公司包括自動備份、自動 WordPress 升級和更多增強的安全設置,以保護您的網站。

4. 定期備份 WordPress

在 WordPress 攻擊的情況下,備份是您的第一道安全線。

如果出現問題,備份使您能夠輕鬆恢復您的 WordPress 網站。

您可以使用許多免費和高級的 WordPress 備份插件。 關於備份要記住的最重要的一點是,您必須定期將全站點備份保存到遠程位置(而不是您的主機帳戶)。

我們建議使用 Amazon、Dropbox 等雲提供商或 Stash 等私有云來存儲它。

根據您更新網站的頻率,理想的設置可能是每天一次或實時備份。

值得慶幸的是,像 UpdraftPlus 這樣的插件讓這一切變得簡單。 它也是 WordPress 網站的必備插件。 UpdraftPlus 是可靠的,最重要的是,使用簡單(無需編碼)。

5. 使用 WordPress 安全插件

對 WordPress 網站的惡意軟件攻擊非常普遍。 如果您不手動監控您網站的源代碼,您甚至可能不知道您的代碼已被感染。

不幸的是,您需要知道如何編寫代碼來解決這個問題。 但是,有一種更好更直接的方法。 WordPress 安全插件旨在檢測和刪除您網站中的有害代碼和病毒。

最好的部分是它們全天候運行,您無需做任何事情。 Sucuri 和 Wordfence 是兩個最流行的 WordPress 安全插件。

6. 啟用 Web 應用程序防火牆 (WAF)

保護您的網站並確保您的 WordPress 安全的最佳方法是使用 Web 應用程序防火牆 (WAF)。

網站防火牆會在所有有害流量到達您的網站之前阻止它。

DNS 級網站防火牆 –這些防火牆通過雲代理服務器過濾您的網站流量。 因此,它們只能向您的 Web 服務器提供真正的流量。

應用程序級防火牆——這些防火牆插件在流量到達您的服務器後檢查流量,但在大多數 WordPress 腳本加載之前。 在最小化服務器負載方面,該解決方案不如 DNS 級防火牆有效。

為此,您可以使用 Sucuri 作為 WordPress 的最佳 Web 應用程序防火牆。

Sucuri 防火牆的最佳功能是它包括惡意軟件清理和黑名單刪除保證。 基本上,如果您的網站在他們監控時被黑客入侵,他們保證會修復它。

7. 安裝 SSL 證書

SSL 是一種數據傳輸協議,可對網站與其訪問者之間發送的數據進行加密,使黑客難以竊取敏感信息。

SSL 證書還改善了網站的搜索引擎優化 (SEO),這有助於吸引更多訪問者。

具有 SSL 證書的網站將使用 HTTPS 而不是 HTTP,使其易於識別。

開始為所有 WordPress 網站使用 SSL 現在比以往任何時候都容易。 許多託管公司現在為您的 WordPress 網站提供免費的 SSL 證書。

8.更改默認的“admin”用戶名

WordPress 中的默認用戶名是 admin,許多網站所有者從不費心去更改它。

因此,當黑客開始攻擊您的網站時,他們將嘗試的第一個用戶名是 admin。 如果知道該名稱,他們現在所要做的就是猜測密碼。

因此,您應該避免在您的 WordPress 網站上使用該用戶名。

9. 限制登錄嘗試

WordPress 允許用戶無限次嘗試登錄網站。 然而,這對於黑客來說是一個好兆頭,他們可以通過嘗試多個密碼組合,直到他們找到正確的密碼組合來強行進入系統。

為了避免對網站的此類攻擊,對失敗的登錄嘗試設置限制至關重要。 限制失敗的嘗試還有助於檢測您網站上的任何可疑活動。

大多數用戶只需要一次嘗試或幾次失敗的嘗試; 因此,應避免達到嘗試限制的可疑 IP 地址。

使用插件是限制登錄嘗試的一種方法,從而提高了 WordPress 的安全性。 您可以為此使用登錄鎖定 WordPress 插件。

10.禁用文件編輯

WordPress 有一個內置的代碼編輯器,可讓您直接從 WordPress 管理區域更改主題和插件文件。 此功能在壞人手中可能會帶來安全問題,這就是我們建議將其關閉的原因。

您可以通過將以下代碼插入到wp-config.php文件中來執行此操作。 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

11.啟用雙重身份驗證

雙因素身份驗證方法要求用戶使用兩步身份驗證過程登錄。

第一步是輸入您的用戶名和密碼,第二步是使用不同的設備或應用程序進行身份驗證。

大多數頂級在線平台,例如 Google、Facebook 和 Twitter,都允許您為您的帳戶激活它。 您可以輕鬆地將相同的功能包含到您的 WordPress 網站中。

您可以為此使用 Google Authenticator 或兩因素身份驗證 WordPress 插件。

12. 更改默認的 WordPress 數據庫前綴

WordPress 數據庫包含並保存您的網站運行所需的所有信息。

因此,黑客通常使用 SQL 注入攻擊來攻擊數據庫。 這種方法將惡意軟件注入數據庫,允許攻擊者繞過 WordPress 安全並獲取數據庫內容。

SQL 注入用於大約一半的網絡攻擊,使其成為最嚴重的威脅之一。

由於許多用戶未能更改默認數據庫前綴wp_ ,因此黑客執行了此破解。 這就是為什麼我們建議更改它。

13.禁用目錄索引和瀏覽

黑客可以通過目錄瀏覽來查看您是否有任何具有已知漏洞的文件,然後利用這些文件來獲取訪問權限。

用戶還可以使用目錄瀏覽來查看您的文件、複製圖像、找出您的目錄結構以及獲取其他一些信息。

因此,強烈建議您禁用目錄索引和瀏覽。

您必須通過 FTP 或 cPanel 中的文件管理器連接到您的網站。 然後,在您網站的根目錄中,查找.htaccess文件。

然後,在.htaccess文件的底部,添加以下行:

Options -Indexes

不要忘記將.htaccess文件保存上傳回您的站點。

14. 禁用 XML-RPC

XML-RPC 在 WordPress 3.5 中默認啟用,因為它有助於將 WordPress 站點與 Web 和移動應用程序連接起來。

由於其強大的特性,XML-RPC 可能會大大增加暴力攻擊。

例如,如果黑客想在您的網站上嘗試 100 個不同的密碼,他們必須進行 100 次不同的登錄嘗試,登錄鎖定插件會捕獲並拒絕這些嘗試。

然而,使用 XML-RPC,黑客可能會使用 system.multicall 函數通過 20 或 50 個請求嘗試數千種不同的密碼。

15. 自動註銷空閒用戶

許多人忘記退出網站,他們的會話繼續運行。

因此,使用同一設備的其他人將能夠訪問他們的用戶帳戶,並可能濫用個人信息。 這尤其適用於那些在網吧或圖書館等場所使用公共計算機的人。

因此,設置您的 WordPress 網站以使不活躍的用戶立即註銷至關重要。

大多數銀行網站都使用這種策略來防止不受歡迎的用戶訪問他們的網站,從而確保客戶信息的安全。

自動註銷非活動用戶帳戶的最簡單方法之一是使用 WordPress 安全插件,例如 Inactive Logout。 除了終止非活動用戶外,此插件可能會發送自定義消息以通知空閒用戶他們的網站會話即將到期。

16. 更改 WordPress 登錄頁面 URL

要進一步保護您的 WordPress 網站免受暴力攻擊,請考慮更改登錄頁面的 URL。

所有 WordPress 站點的默認登錄 URL 是yourdomain.com/wp-admin 。 如果您使用默認登錄 URL,黑客可以輕鬆地瞄準您的登錄頁面。

WPS 隱藏登錄和更改 wp-admin 登錄等插件啟用自定義登錄 URL 設置。

17.隱藏WordPress版本

隱藏您的 WordPress 版本再次通過默默無聞的方式提出了 WordPress 安全性的話題。 了解您的 WordPress 網站設置的人越少越好。 如果黑客發現您安裝了過時的 WordPress,這可能是一個受歡迎的跡象。

默認情況下,WordPress 版本顯示在您網站源代碼的標題中。 同樣,我們建議您始終保持 WordPress 安裝處於最新狀態,這樣您就不必擔心了。

您可以使用以下代碼刪除 WordPress 版本。 只需將其添加到您的 WordPress 主題的functions.php文件中。 function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');

18. 更新到最新版本的 PHP

更新到最新版本的 PHP 是確保 WordPress 網站安全的最重要的事情之一。

升級準備好後,WordPress 將通過儀表板告訴您。 然後它會將您重定向到您的主機帳戶,您可以在其中升級到最新的 PHP 版本。

如果您不知道如何升級您的主機帳戶,請聯繫您的 Web 開發人員。

19. 執行定期安全掃描

如果您使用 WordPress 安全插件,它會定期掃描您的網站以查找惡意軟件和安全漏洞信號。

但是,如果您發現網站流量或搜索排名大幅下降,則應手動執行掃描。 為此,您可以使用 WordPress 安全插件或使用一些在線工具,如 Sucuri SiteCheck 或 IsItWP 安全掃描器。

運行這些在線掃描工具非常簡單。 只需輸入您的網站 URL,它們的爬蟲就會通過您的網站尋找已知病毒和有害代碼。

請記住,大多數 WordPress 安全掃描程序只能掃描您的網站。 他們無法刪除惡意軟件或清理被黑的 WordPress 網站。

20. 刪除未使用的 WordPress 插件和主題

在您的網站上使用未使用的插件和主題可能很危險,尤其是在它們尚未更新的情況下。

黑客可以使用過時的插件和主題來訪問您的網站,從而增加網絡攻擊的風險。

21. 使用安全的 WordPress 主題

無效的 WordPress 主題是原始高級主題的非法副本。 大多數時候,這些主題以較低的價格出售以吸引用戶。 但是,它們有時會遇到一些安全問題。

由於無效主題是非法發布的,因此它們的用戶不會從開發人員那裡得到任何幫助。 這意味著如果您的網站有任何問題,您必須自己找出解決問題的方法並保護您的 WordPress 網站。

為避免成為黑客目標,我們建議使用來自官方存儲庫或信譽良好的開發人員的 WordPress 主題。 或者,您可以在 ThemeForest 等官方主題市場上尋找第三方主題,該市場擁有數百個高級 WordPress 主題。

WordPress網站安全:最後的想法

WordPress 是一種流行且強大的內容管理系統,它使任何人都可以輕鬆創建網站。 然而,由於它被廣泛使用,它已成為黑客的熱門目標。

幸運的是,您可以採取幾個步驟來保護您的 WordPress 網站。 但是,請記住,您不必執行上面列出的所有操作。 如果您遵循基本的最佳實踐,您將在競爭中遙遙領先。

在那之後,做你能做的並且覺得有能力做的事。 安全是一項持續的努力,而不是一次性事件。 你總是可以做得更多,但開始是必不可少的。

就這樣; 我們希望我們的帖子能幫助您了解最好的 WordPress 安全提示,以保護您的 WordPress 網站。 如果您喜歡這篇文章,您可能還想閱讀:

  • 保護您網站的最佳 WordPress 安全插件
  • 提高您的 SEO 排名的 WordPress SEO 技巧
  • 如何在 2022 年加速 WordPress 網站